Specialiștii în protecția digitală de la Aikido au descoperit recent o metodă avansată prin care infractorii cibernetici răspândesc programe malițioase într-un mod aproape insesizabil. Tehnica exploatează sistemul de invitații din Google Calendar – o platformă frecvent utilizată în sfera personală și profesională – pentru a atrage utilizatorii către surse periculoase aflate sub controlul atacatorilor.

Aceștia au modificat un pachet npm aparent inofensiv, os-info-checker-es6, actualizat în versiunea 1.0.8, unde fișierul preinstall.js ascunde funcționalități periculoase. Cu ajutorul caracterelor speciale din zona „Private Use Area” (PUA) a standardului Unicode, codul rău intenționat este disimulat într-un format invizibil pentru uneltele obișnuite de analiză.

Analiza a evidențiat că binarul Rust din pachet decodează caracterele mascate în comenzi codificate base64, ce execută ulterior JavaScript malițios pe sistemul compromis. Această abordare permite evitarea detecției de către soluțiile antivirus și sisteme de monitorizare convenționale.

Livrarea malware-ului se face prin invitații aparent legitime din Google Calendar, care includ linkuri către fișiere sau site-uri infectate. În unele cazuri, titlurile evenimentelor conțin secvențe base64 care conduc la conținut periculos găzduit pe servere externe. Folosirea unei aplicații cunoscute și de încredere precum Google Calendar le oferă atacatorilor un avantaj major, păcălind atât utilizatorii, cât și filtrele de securitate.

Printre pachetele nocive identificate se numără:

• os-info-checker-es6

• skip-tot

• vue-dev-serverr

• vue-dummyy

• vue-bit

De asemenea, o adresă IP asociată acestor activități a fost descoperită: 140.82.54.223. Una dintre metodele-cheie folosite în campanie constă în trimiterea de invitații Google Calendar către victime, cu scopul de a livra fișiere infectate sau de a iniția atacuri directe prin browser.

Recomandări esențiale:

• Evitați accesarea invitațiilor necunoscute din Google Calendar.

• Configurați opțiunile Calendarului astfel încât să accepte automat doar invitațiile de la persoane cunoscute.

• Monitorizați și actualizați în permanență sistemele pentru a reduce riscurile exploatării.

• Fiți atenți la posibile tentative de phishing și inginerie socială.

Concluzie:

Utilizarea invitațiilor Google Calendar și mascarea codului prin caractere Unicode PUA reflectă o adaptare ingenioasă a atacatorilor la mediile de încredere. Această metodă sofisticată le permite să treacă neobservați de sistemele de apărare tradiționale. E important ca utilizatorii și instituțiile să rămână vigilenți și să adopte măsuri preventive solide pentru a se proteja de asemenea atacuri cibernetice avansate.

Pentru mai multe informații și resurse, vă rugăm să vizitați website-ul DNSC.